NIST出版物
NIST制定並維護了大量有關信息和信息系統的安全性和隱私性的標準,指南,建議和研究。這包括各種NIST技術出版物系列:
資料來源:NIST出版物
NIST RMF
-NIST RMF –風險管理框架(NIST SP 800-12 R1)
FIPS 200 –聯邦信息和信息系統的最低安全要求
以下是有關最低安全要求的FIPS 200摘錄:
最低安全要求(MINIMUM SECURITY REQUIREMENTS)
最低安全要求涵蓋十七個與安全相關的領域,以保護聯邦信息系統以及由這些系統處理,存儲和傳輸的信息的機密性,完整性和可用性。與安全有關的領域包括:
(i)訪問控制;
(ii)意識和培訓;
(iii)審計和問責制;
(iv)認證,認可和安全評估;
(v)配置管理;
(vi)應變計劃;
(vii)識別和認證;
(viii)事件響應;
(ix)維修;
(x)媒體保護;
(xi)物理和環境保護;
(xii)規劃;
(xiii)人員安全;
(xiv)風險評估;
(十五)系統和服務的獲取;
(xvi)系統和通訊保護;
(xvii)系統和信息完整性。
政策和程序在聯邦政府內部有效實施企業範圍內的信息安全計劃以及由此產生的用於保護聯邦信息和信息系統的安全措施的成功中起著重要作用。因此,組織必須制定並頒布正式的,成文的政策和程序來管理此標準中規定的最低安全要求,並且必須確保其有效實施。
最低安全要求規範
訪問控制(AC):組織必須將信息系統訪問限制為授權用戶,代表授權用戶執行的過程或設備(包括其他信息系統)以及允許授權用戶執行的交易類型和功能。
意識和培訓(AT):組織必須:
(i)確保組織信息系統的管理人員和用戶意識到與其活動相關的安全風險以及適用的法律,行政命令,指令,政策,標準,說明,與組織信息系統的安全性有關的法規或程序;
(ii)確保對組織人員進行充分的培訓,以執行其分配的與信息安全相關的職責。
參考
. NIST出版物
資料來源: Wentz Wu QOTD-20201223